Come da Regolamento europeo per la protezione dei dati personali, il GDPR prevede l’istituzione di una nuova figura organizzativa: il Data Protection Officer (DPO). Ma quali sono i suoi compiti, i suoi obblighi e i suoi requisiti? Facciamo un po’ di ordine.
I compiti del DPO
- Supervisionare l’organizzazione interna, facilitare e comunicare sia verso il vertice dell’impresa sia verso l’esterno
- Gestire della propria organizzazione in modo da garantire in ogni fase la piena conformità al trattamento e raccogliere prove documentali per dimostrarla
- Prevenire e moderare i rischi secondo un approccio proattivo (principio di “responsabilizzazione”) ovvero tutelare i diritti e le libertà degli interessati, ma anche e soprattutto valutare preventivamente l’impatto che alcune scelte possano avere sull’immagine dell’organizzazione e sulla continuità operativa
- Pseudonimizzare e criptare i dati
- Notificare al Garante della Privacy il caso in cui si subisca un incidente di sicurezza, entro 72 ore, salvo rari casi di giustificato ritardo, ed eventualmente anche agli interessati qualora vi siano rischi elevati di pregiudizio per questi ultimi
- Garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento
- Supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo
Gli obblighi del DPO
- informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento
- sorvegliare l’osservanza del regolamento, nonché altre disposizioni europee o di diritto interno in materia di protezione dati
- sorvegliare le attribuzioni delle responsabilità, le attività di sensibilizzazione, la formazione e le attività di controllo
- fornire pareri e sorvegliare alla redazione della Data protection impact assessment
- fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali
- controllare che le violazioni dei dati personali siano documentate, notificate e comunicate
- gestire il registro delle attività di trattamento ex art. 30
I requisiti del DPO
Non sono richiesti attestati sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali ma le seguenti competenze ed esperienze specifiche:
- Approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle procedure amministrative del proprio settore di riferimento
- Non avere conflitto di interessi per svolgere attività di GDPR
- Essere un profilo senior che garantisce una maggiore indipendenza e la non ingerenza nelle proprie attività da parte del titolare
- Eventuale attestazione di partecipazione a master e corsi di studio/professionali specifici
Il Garante della Privacy sta ancora regolamentando in dettaglio il GDPR e si riserva la possibilità di aggiungere eventuali altre informazioni sul proprio sito.
Come In Job siamo in grado di supportarti nella selezione della figura del Data Protection Officer per la tua azienda.